东北大学“谛听”网络安全团队:2016-2017年第一季度工业控制网络安全态势白皮书

2017-04-16 +12 313632人围观 ,发现 17 个不明物体 安全报告工控安全

摘要

东北大学“谛听”网络安全团队根据“谛听”网络空间工控设备搜索引擎收集的各类安全数据,撰写并发布了2016-2017年第一季度工业控制网络安全态势白皮书,读者可以通过本白皮书对工控系统漏洞、联网工控设备、SCADA系统和安保摄像头的分布及2016年典型工控安全事件的阐述和分析,全面了解工业控制系统安全现状,多方位感知工业控制系统安全态势,为研究工控安全相关人员提供参考。 

本白皮书分为9个部分,分别为前言、工控系统安全漏洞概况、联网工控设备分布、SCADA系统安全感知、联网安保摄像头、Struts2远程代码执行漏洞专题、2016典型工控安全事件分析、2016工控安全治理动态和总结。

谛听简介

东北大学“谛听”网络安全团队专注于工控系统网络安全研究,由东北大学计算机科学与工程学院姚羽教授及其博士、硕士研究生组成,早在2010年就开始相关领域的研究工作。2015年,为全面感知工控系统网络安全面临的严峻形势,东北大学“谛听”网络安全团队基于自身传统安全研究优势研究并实现了“谛听”网络空间工控设备搜索引擎,根据“谛听”收集的各类安全数据撰写工控网络安全白皮书,全面分析工业控制系统安全现状,多方位感知关键信息基础设施安全态势。

“谛听”乃是地藏菩萨经案下伏着的通灵神兽,可以通过听来辨认世间万物,传说是地藏菩萨的坐骑。将系统取名为“谛听”,就是取“谛听”辨识万物之意,意在搜寻暴露在互联网上的工业控制系统联网设备,维护工控系统安全、循迹恶意企图人士。

文章内容如下:

1. 前言

工业控制系统是电力、交通、能源、水利、冶金、航空航天等国家重要基础设施的“大脑”和“中枢神经”,超过80%的涉及国计民生的关键基础设施依靠工业控制系统实现自动化作业。随着经济与技术发展,工业控制系统在应对传统功能安全威胁的同时,也面临越来越多的病毒、木马、黑客入侵等工控信息安全威胁。

2014年2月27日,中共中央总书记、国家主席、中央军委主席习近平在中央网络安全和信息化领导小组第一次会议上讲话强调,没有网络安全就没有国家安全,没有信息化就没有现代化。

2016年4月19日的网络安全和信息化工作座谈会中习近平总书记又谈到推进网络安全和信息化建设,强调了加快构建关键信息基础设施安全保障体系,切实做好金融、能源、电力、通信、交通等领域的关键信息基础设施的安全防护。

2016年7月,为贯彻落实习近平总书记重要讲话精神,经中央网络安全和信息化领导小组批准,首次全国范围的关键信息基础设施网络安全检查工作正式启动,在网络安全新形势下,针对全国关键信息基础设施网络安全保护开展的全局性、基础性工作。

2016年10月,工业和信息化部印发《工业控制系统信息安全防护指南》,充分落实了国家关键信息基础设施安全保护要求,也为新时期、新形势下做好工控安全防护工作提供了重要的参考。

2016年11月7日,第十二届全国人大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》,进一步界定关键信息基础设施范围,对攻击、破坏我国关键信息基础设施的境外组织和个人规定相应的惩治措施。

2016年12月27日,国家互联网信息办公室发布了我国首个关于网络空间安全的战略《国家网络空间安全战略》,阐明了中国关于网络空间发展和安全的重大立场和主张,明确了战略方针和主要任务,是指导国家网络安全工作的纲领性文件。

 “十三五”规划开始,网络空间安全已上升至国家安全战略,工控网络安全作为网络安全的中的薄弱而又至关重要部分,全方位感知工控系统的安全态势成为亟待解决的重要问题之一。为顺应国家形势,东北大学“谛听”网络安全团队基于自身传统的安全研究优势开发设计并实现了“谛听”网络空间工控设备搜索引擎(http://www.ditecting.com),并根据“谛听”收集的各类安全数据,撰写并发布了2016-2017年第一季度工业控制网络安全态势白皮书,读者可以通过报告对工控系统漏洞、联网工控设备、SCADA系统和安保摄像头的分布及2016年典型工控安全事件的阐述和分析,全面了解工业控制系统安全现状,多方位感知工业控制系统安全态势,为研究工控安全相关人员提供参考。

2. 工控系统安全漏洞概况

随着计算机和网络技术的发展,特别是两化融合以及物联网的快速发展,越来越多的通用协议、硬件和软件在工业控制系统产品中采用,并以各种方式与互联网等公共网络连接,使得针对工业控制系统的攻击行为大幅度增长。其中,最常见的攻击方式就是利用工业控制系统的漏洞,PLC(Programmable Logic Controller,可编程逻辑控制器)、DCS(DistributedControl System,分布式控制系统)、SCADA(Supervisory Control And DataAcquisition,数据采集与监视控制系统) 乃至应用软件均被发现存在大量信息安全漏洞,如 ABB 施耐德电气(Schneider)、通用电气(GE)、研华科技(Advantech)及罗克韦尔(Rockwell)等工业控制系统厂商产品均被发现包含各种信息安全漏洞。

1.png

图2-1 2000-2016年工控漏洞走势图(数据来源CNVD、“谛听”)

根据CNVD(国家信息安全漏洞共享平台)和“谛听”的数据,制作如图2-1所示的2000-2016年工控漏洞走势图。从图中可以看出,2010年之后工控漏洞数量显著增长,出现此趋势的主要原因可能是2010年后工业飞速发展,对工业控制系统的关注也显著增加。

如图2-2和2-3分别是工控系统行业漏洞危险等级饼状图和工控系统行业厂商漏洞数量饼状图,由图中可知,其中高危漏洞占所有漏洞中的48%,需要引起高度重视。对于厂商漏洞而言,Siemens占比最多,其他厂商占比大致相同,而Siemens的产品在全球范围内使用占比排名靠前,可见,这就使工控系统的安全潜在巨大风险。

截至2017年3月31日,2017年新增工控系统行业漏洞30个,其中高危漏洞15个,中危漏洞15个,这些数据都表明,工控行业漏洞情况不容乐观,需引起相关重视。

2.png

图2-2 工控系统行业漏洞危险等级饼状图(数据来源CNVD、“谛听”)

3.png

图2-3 工控行业厂商漏洞数量饼状图(数据来源CNVD、“谛听”)

3.联网工控设备分布

 “谛听”网络空间工控设备搜索引擎共支持20种服务的协议指纹识别(包括18种工控服务、大华DVR和SNMP),如图3-1所示,想了解这些协议的详细信息请参照“谛听”网络安全团队以前发布的工业控制网络安全态势分析白皮书,或登录“谛听”官方网站查看,此处不再赘余。

4.png

图3-1 “谛听”网络空间工控设备搜索引擎支持的协议

根据“谛听”网络空间工控设备搜索引擎收集的数据,经“谛听”网络安全团队分析,得出如图3-2、3-3和3-4的可视化展示,下面做简要说明。

5.jpg

图3-2 “谛听”暴露工控设备总览全球视角

6.png

图3-3 全球工控设备暴露Top-10

如图3-2所示是以全球视角分析工控设备的暴露情况,图3-3是全球工控设备暴露Top-10,由图可知全球范围内美国暴露最多,加拿大位居第二,俄罗斯、法国、意大利等紧随其后,中国台湾排名全球第4。

美国作为世界上最发达的工业化国家,在互联网的新时代背景下,美国倡导“工业互联网”,将智能设备、人和数据连接起来,形成开放而全球化的工业网络。

加拿大的陆地面积大,拥有丰富的能源资源,在航空航天、有色冶金、信息通讯、电力水利、纸浆造纸和新能源新材料等产业方面拥有世界领先水平。

俄罗斯重工业发达,工业基础雄厚,部门全,核工业和航空航天业占世界重要地位,机械、钢铁、冶金、石油、天然气、煤炭、森林工业及化工等也较发达。

法国、意大利等国家大部分为欧盟成员国,是工业革命的发源地,目前也是世界上工业最发达的地区之一。

工业是台湾经济的重要支柱,经过几十年的发展,台湾基本上建立了部门比较齐全、以委托加工型态为主体、以高新科技产业中的信息电子产业、制造业中的钢铁、石油和纺织业等为支柱的工业体系,因此工控系统面临较大安全风险。

对于工控协议的暴露情况,Tridium Niagara Fox占比最多,其次分别为Modbus、EtherNet/IP和Siemens S7等。协议最初设计时候,为了兼顾工业控制系统通信的实时性,很多都忽略了协议通信的机密性、可认证性等。但是随着工业控制系统与信息网络的联系密切,传统观念认为工业内网与互联网物理隔离已经不存在了,所以几乎所有的现场总线协议都是明码通信。近几年,出现了很多针对工控网络的新型攻击方法,如PLC-Blaser病毒,这种病毒是研究人员在实验室测试成功的蠕虫病毒,它能够从一台PLC向另一台PLC传播而无需一台PC或服务器,它的设计是针对Siemens S7系列的PLC的。可见,越是使用广泛的协议越要保证其传输数据的安全性。

7.jpg

图3-4 “谛听”暴露工控设备总览中国视角

如图3-4所示,是以中国视角分析工控设备的暴露情况,其中中国台湾占比最大,其次分别为北京、浙江江苏上海的长江三角洲地区和黑吉辽的东三省地区,众所周知这些都是重点的经济发展区。而对于协议方面,Siemens S7使用最多,因国内使用Siemens产品较多。

由以上的统计图表和分析可知,越是重点的经济发展区,工控系统的暴露数量越多,也就越容易成为首要攻击的目标,需引起高度重视。

4.SCADA系统安全感知

工业控制SCADA(SupervisoryControl and Data Acquisition,数据采集与监控)系统,是由计算机设备、工业过程控制组件和网络组成的控制系统,对工业生产过程进行数据采集、监测和控制,保证工业生产过程的正常运转,它是电力、石油、冶金、天然气、铁路、供水、化工等关系国家命脉的基础产业的神经中枢。

2011年3月,安全研究人员路易吉·奥列马发布SCADA攻击代码到一个安全邮件列表。其中,有七个针对SCADA系统的安全漏洞,这表明SCADA也存在安全隐患。

而最新的调查显示,很多SCADA系统的用户名、密码和其他机密信息正在黑市任意地售卖,从而导致2014年针对SCADA系统的攻击数量相比2013年增长了一倍,如黑客就曾入侵过法国某水力发电SCADA系统,并放出了几张疑似的截图,如图4-1所示。

QQ截图20170222185042_meitu_3.jpg

图4-1 法国疑似某水力发电工控SCADA系统

final-含未知饼图.png

图4-2 分行业SCADA系统数量占比分布图

截至2017年3月31日,“谛听”网络空间工控设备搜索引擎扫描到了美国、中国和部分韩国日本的SCADA系统,根据国家文件中的分类标准,将得到的SCADA系统制作成了如图4-2和4-3所示的中国和美国分行业数量分布图,其中图4-2为分行业SCADA数量占比饼图,从图中可以看出,除未知行业以外,占比排名分别为水利、市政、工业制造、电力、环境保护、石油化工、医疗卫生、交通、煤炭。图4-3是中国和美国已知行业SCADA系统数量分布柱状图,从图中可以看出,对于中国而言,按数量排名分别是水利、市政、电力、工业制造、环境保护、石油化工、医疗卫生、交通和煤炭。对于美国而言,排名为工业制造、环境保护、水利、电力、石油化工、医疗卫生和交通。这些重要基础设施互相关联,构成复杂、庞大的体系,为国防安全、经济运行提供不可替代的物质和服务。如今,黑客已经从原来的攻击普通网络转向攻击关键信息基础设施,而对于其中的SCADA系统来说,一旦出现攻击,造成的损失可能是无法估量的,因此,对于SCADA安全来说,亡羊补牢固然重要,事前的预防则更为重要。

final-无未知柱图.png

图4-3中国和美国已知行业SCADA系统数量柱状图

根据扫描到的中国SCADA系统及其地理位置信息,选择其中部分中国大陆的数据制作了如图4-4所示的中国大陆地区部分SCADA系统分布图,从图中可以清晰地看出大陆地区的SCADA系统的分布情况,其中列举8个疑似SCADA加以简单说明。这8个疑似的SCADA系统都是涉及水利、电力、石油等关系到国计民生的关键基础设施的,其中1和4可以看到具体的设备线路和监控数据,而2、3、5、6、7黑客可以通过各种手段进入系统,一样会造成危害。

中国scada最终.png

图4-4 中国大陆地区部分SCADA系统分布图

除了上述列举的部分中国SCADA系统以外,“谛听”网络空间工控设备搜索引擎也搜索到美国和部分日本、韩国疑似的SCADA系统,如图4-5、4-6和4-7所示。其中图4-5是疑似日本水利SCADA系统,图4-7是美国疑似SCADA系统,其中图a疑似泵站SCADA系统,图b为疑似化工过程SCADA系统,图中可以清晰地看到设备线路及一些监控数据,如果这些SCADA系统的控制权被黑客窃取,必将对设备的正常运转带来影响,严重时将影响附近人员的健康并造成经济损失。而图4-6是疑似韩国SCADA系统,虽然从图中暂时不能看到详细的设备线路,但是如果该网站使用的是默认密码或弱密码,那么黑客也能很容易地通过该网站窃取所需信息,造成严重危害。所以,SCADA系统的安全值得更大的关注。

8.jpg

(a)

9.jpg

(b)

图4-5 日本疑似某SCADA系统

122.99.216.242.80.jpg

图4-6 韩国疑似某SCADA系统

63.230.107.138_1_meitu_3.jpg

(a)

50.233.57.61.80_meitu_2.jpg

(b)

图4-7 美国疑似某SCADA系统

2016年11月3日,工信部发布了“工业和信息化部关于印发《工业控制系统信息安全防护指南》的通知”,《指南》中要求“强化工业控制设备、SCADA软件、工业通信设备等的登录账户及密码,避免使用默认密码或弱密码,定期更新口令。”可见,国家级层面已经对SCADA的安全开始加大重视力度,避免安全事件的发生。

5.联网安保摄像头探测

近年来,随着网络摄像头的普及,它被众多市民用于网络社交、防范安全隐患等各个方面,然而伴随网络摄像头的大量部署,其自身存在的安全漏洞,以及固件上可能存在的缺陷,被逐步暴露出来,成为黑客手中新的牟利工具。

事实上,大量网络摄像头被黑客利用并控制并非危言耸听。有网络安全人员发现,英国部分居民的家庭网络摄像头遭黑客入侵,黑客将其影像信息放到网站上供人随意浏览。可能有数以百计英国用户的生活,在他们不知情的情况下正在网上直播。

为了可以随时远程监控家中和工厂情况,用户经常将摄像头连接上网,但他们往往忘记修改默认密码,而各个品牌摄像头的默认密码在网上已经随手可得。

2016年10月美国DNS域名服务器供应商Dyn遭到了大规模DDoS攻击,从而导致许多网站在美国东海岸地区宕机,事件发生后,全球安全研究专家对此次事件进行了追踪、分析、溯源和响应处置,发现其主要根源之一正是分布于世界各地的安保摄像头。

2017年3月,大华科技针对旗下很多产品推送了固件升级补丁,推出固件的补丁被爆存在后门,利用该后门,就能远程访问摄像头产品中的用户密码哈希的数据库。攻击者可以获取到数据库中身份凭证信息,进而登录设备,最终导致设备被黑客完全控制

事实上,在互联网中,摄像头不会被视为特定设备,相反,它们被认为是完整的计算机,可能运行有最新的Windows或者Linux软件,拥有丰富的内存与强大的供电电源,同时也接入快速互联网链接。黑客正是利用这样的认知不对称性实现设备控制,并最终致使互联网陷入崩溃。

根据谛听网络空间工控设备搜索引擎搜集到的大华Dvr和海康威视摄像头的数据,发现暴露在Internet上的安保摄像头中有70%以上使用默认密码,使用默认密码的安保摄像头中50%左右用来监控工业控制系统相关设备厂房,如图5-1所示是“谛听”网络空间工控设备搜索引擎搜集到的中国某些省市使用安保摄像头的情景截图,从这些图中可以清晰地看到厂房监控设备和工业生产过程。

a.png

(a)

b.png

(b)

c.png

(c)

d.png

(d)

e.png

(e)

f.png

(f)

图5-1 使用默认密码的摄像头中监控工业生产设备截图

6.Struts2远程代码执行漏洞专题

2017年3月7日,杭州安恒信息安全研究院WEBIN实验室高级安全研究员NikeZheng发现著名J2EE框架——Struts2存在远程代码执行的严重漏洞(漏洞编号S2-045),国家信息安全漏洞共享平台(CNVD)第一时间收录(CNVD-2017-02474,对应CVE-2017-5638)。在随后的短时间内,Struts2再曝远程代码执行漏洞(漏洞编号S2-046,CNVD-2017-02880,CVE-2017-5638)。目前,Struts2官方已确认漏洞,并定级为高危漏洞。

编号为S2-045的漏洞,是基于Jakarta plugin插件的Struts远程代码执行漏洞,攻击者可在上传文件时通过修改HTTP请求头中的Content-Type值来触发该漏洞,进而控制系统。编号为S2-046的漏洞则是攻击者可通过Content-Length或者Content-Disposition构造恶意的OGNL内容,同样会造成远程代码执行。

Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。Struts2是Struts的下一代产品,是在Struts1和WebWork的技术基础上进行了合并的全新的Struts 2框架。Struts2 的使用范围及其广泛,国内外均有大量厂商使用该框架。远程攻击者可以利用该漏洞直接取得网站服务器控制权。

截至2017年3月7日13时,互联网上已经公开了S2-045漏洞的攻击利用代码,同时已有安全研究者通过CNVD网站提交了多个受漏洞影响的省部级党政机关、金融、能源、电信等行业单位以及知名企业门户网站案例。根据抽样测试结果,互联网上采用Apache Struts 2框架的网站(不区分Struts版本,样本集>500,覆盖政府、高校、企业)受影响比例为60.1%。

“谛听”网络安全团队将“谛听”网络空间工控设备搜索引擎收集到的部分SCADA系统进行Struts2远程代码执行漏洞扫描排查,发现了一部分存在该漏洞的网站系统。如图6-1所示就是其中的一个,是某交通管控平台。虽然Apache Struts官方已在发布的新的版本中修复了漏洞,但是不排除将来会有类似新漏洞的发现,所以这种涉及国计民生的关键信息基础设施更易成为黑客攻击的目标,需引起重视。

1.jpg

图6-1某交通管控平台SCADA系统截图

7.2016典型工控安全事件分析

美国ICS-CERT收录的工控安全事件中,大部分的攻击事件集中在发达国家或地区,且国家关键信息基础设施和重要工业控制领域是主要的攻击目标。下面小节将选择2016年一些典型攻击事件加以阐述和分析,全部2016工控安全事件请关注“谛听”微信公众号推送。

7.1 以色列电网遭入侵

2016年1月,以色列能源与水力基础设施部部长称,以色列电力供应系统遭受到重大网络攻击,后查明勒索软件造成了此次事故。事件发生后,以色列采取了应急措施,中止以色列电力设施中的大量运行的计算机。

从2015年底乌克兰电网事件到2016年初的以色列电网事件,电网等国家关键基础设施正在遭受越来越多的攻击,对于国家政府而言,对其相应的重视也应越来越大,防止黑客使用不同的手段实施攻击。

7.2 美国大坝遭伊朗黑客攻击

2016年3月,美国司法部公开指责7名伊朗黑客入侵了纽约Bowman Avenue Dam的一个小型防洪控制系统,经执法部门确认,黑客进行了一些信息的获取和攻击尝试,并没有获得大坝计算机系统的控制权。如果大坝受到攻击,可能造成决堤,会威胁附近人民的生活,造成经济损失,后果不堪设想。

7.3 德国核电站检测出恶意程序被迫关闭

2016年4月,德国Gundremmingen核电站的计算机系统,在常规安全检测中发现了恶意程序。核电站的操作员为防不测,关闭了发电厂。Gundremmingen核电站官方发布的新闻稿称,此恶意程序是在核电站负责燃料装卸系统的Block B IT网络中发现的。据说该恶意程序仅感染了计算机的IT系统,而没有涉及到与核燃料交互的ICS/SCADA设备。

7.1_meitu_1.jpg

图7-1 德国核电站检测出恶意程序被迫关闭

众所周知,核电站就是利用核裂变或核聚变反应所释放的能量产生电能的发电厂,核电站在运行过程中会产生大量的放射性物质,一旦核电站被黑客攻击,泄露的物质对环境造成污染的同时,也会对电站工作人员和电站周围居民的健康造成损害,所以,核电站的运行安全更应受到重视。

7.4美国遭史上最大规模DDoS攻击,物联网设备成超级武器

2016年10月,美国DNS域名服务提供商Dyn遭到了DDoS攻击,从而导致许多网站在美国东海岸地区宕机,如GitHub、Twitter、PayPal等,用户无法通过域名访问这些站点。事件发生后,全球安全研究专家对此次事件进行了追踪、分析、溯源和响应处置,发现黑客利用了大量由摄像头等物联网设备组成的僵尸网络发起攻击,且这些设备均感染了Mirai恶意软件。媒体将此次攻击称作是“史上最严重 DDoS 攻击”。

7.2_meitu_2.jpg

图7-2 美国遭受DDoS攻击范围

7.5施耐德工业防火墙被爆严重安全漏洞

2016年工业控制系统网络安全大会上,施耐德工业防火墙被爆存在严重的安全漏洞,该漏洞将会影响施耐德公司 ConneXium 工业级以太网防火墙的安全性,该系列产品主要用于保护数据采集与监视控制系统(SCADA 系统)、自动化控制系统、工业网络、以及其他的一些关键设施。攻击者会利用该防火墙Web管理接口的缓冲区溢出漏洞在目标设备中远程执行恶意代码,并干扰网络通信。目前,施耐德电气已经开发出更新补丁,但还未向用户推送。

在众多的攻击事件中,利用工业控制系统漏洞的占大部分,所以工业控制系统的漏洞更应引起重视,任何一个小的漏洞都可能造成严重的安全事故,不能掉以轻心。

8.2016工控安全治理动态

受2015年各类工控安全事件的影响,2016年世界各国对工控网络安全的重视逐渐加大,相关政策、法规也相继出台。以美国为代表的西方国家,不断加大对工控安全研究的资金投入。中国政府也不甘示弱,在相关法律法规、标准等方面都取得了突破性的进展。下面小节将选取一些典型的政策法规加以介绍,全部全球各国2016年的工控安全治理政策法规动态请关注“谛听”微信公众号推送。

8.1中国(参考ICSISIA)

继“工业控制系统深度安全技术”便被列入科技部“网络空间安全”重点专项2016年度项目申报指南之后,2016年8月29日,全国信息安全标准化技术委员会归口的《信息安全技术 具有中央处理器的IC卡嵌入式软件安全技术要求》等24项国家标准正式发布,其中包含信息安全技术工业控制系统安全应用指南。

2016年7月,为贯彻落实习近平总书记重要讲话精神,经中央网络安全和信息化领导小组批准,首次全国范围的关键信息基础设施网络安全检查工作正式启动。

2016年4月19日,习近平总书记在网络安全和信息化工作座谈会上强调要加强对关键信息基础设施的保护和开展网络安全检查工作。

2016年10月,工业和信息化部印发的《工业控制系统信息安全防护指南》;2016年12月27日,国家互联网信息办公室发布了《国家网络空间安全战略》;2016年11月7日,第十二届全国人大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》。

8.2美国

2016年,美国斥巨资140亿美元用于支持政府层面的网络安全发展战略;2016年2月,美国白宫国家科技委员会(NSTC)网络和信息技术研发分委会发布《网络安全研发战略规划》,并更新和扩大了 2011 年 12 月发布的《可信网络空间:联邦网络安全研发项目战略规划》;2016年2月,美国总统奥巴马公布《网络安全国家行动计划》;2016 年 11 月,美国国家标准与技术研究所(简称 NIST)发布了《制造业与工业控制系统安全保障能力评估》草案;2016 年 11 月 15 日,美国国土安全部(DHS)发布《保障物联网安全战略原则》。

8.3欧洲

欧盟委员会启动计划在 2020 年前投资 18 亿欧元(约 20 亿美元)用于网络安全公司合作;英国2016年开始实施“网络安全早期加速项目”; 2016 年 2 月, On.Minniti 与 Baldoni 教授发布意大利网络安全框架,作为国家网络安全战略规划的推动机制;2016 年 7 月,欧洲议会全体会议通过《欧盟网络与信息系统安全指令》;2016 年 3 月,丹麦国家情报机构 PET(PolitietsEfterretningstjeneste)宣布计划成立丹麦黑客学院,旨在提升本国网络安全能力以及对抗外来的网络威胁。

8.4亚洲

日本计划成立工业网络安全促进机构(ICPA),旨在抵御针对关键基础设施的网络攻击,并以此保证 2020 年东京奥运会期间保护关键基础设施的安全;2016 年 6 月,韩国政府公布了名为“韩国 ICT 2020”(K-ICT 2020)的五年战略规划,旨在将韩国打造成为全球信息安全行业领导者。2016年10 月,在新加坡国际网络周(SICW)开幕式上,新加坡总理李显龙正式宣布了该国的网络安全策略报告。

8.5其他国家

2016年,俄罗斯通过新反恐法案支持网络监控;2016年4月,澳大利亚总理特恩布尔在位于悉尼的澳洲科技园发布了《澳大利亚网络安全战略》。

9.总结

卡巴斯基旗下的工控系统计算机应急响应小组(ICS-CERT)近日发布了一份报告,报告基于2016年收集到的各种数据详细分析并阐述了工业行业网络的威胁状况。卡巴斯基表示,针对运行Windows且受保护的工业控制系统的各类攻击中,有包括SCADA系统、数据存储服务器、数据网关、工程师和运营者工作站和人机界面(HMI)等。其中,攻击主要是通过互联网(22%)、可删除媒介(11%)和邮件(8%)实施,开发人员和承包商使用的设备通常作为工业控制系统攻击的跳板。对于受攻击的国家而言(相对于他们所托管ICS的总数来讲),越南、摩洛哥、印度尼西亚、伊朗、中国、印度等国家占比较多,而美国和西欧国家占比较少。对于受攻击影响的行业,冶金、电力、建筑和工程行业的工业企业正在受到攻击活动的威胁,卡巴斯基曾检测到的一次鱼叉式钓鱼攻击活动,该攻击针对全球50多个国家的500多家公司,并主要针对上述提到的行业。

由以上的数据中可以看出,2016年是不安全的一年,各类威胁数据持续上升。但是幸运的是,全球各国家已经纷纷意识到工控系统网络安全的重要性,并采取措施加强预警,争取防患于未然。

2017也注定是不能掉以轻心的一年,这一年,工业控制系统恶意软件的威胁将不断增加,黑客的攻击手段也会不断出现新的花样。连接到云和其他网络上的工控设备也将不断增加,这些联网设备将成为黑客的目标,工控安全行业任重而道远。

2016年,“谛听”网络安全团队已为重庆、河北、山东、辽宁等省市制定了工业控制网络安全态势分析报告,指出各对应省市工控系统安全方面存在的问题,其中重庆市根据报告内容做了有效整改。“谛听”网络安全团队表示,愿意尽最大努力,为工业控制系统网络安全保驾护航。

以上所有数据截至2017年3月31日,并随时间推移持续更新。想了解更多工业控制系统安全相关数据、事件和“谛听”相关产品的研发、更新,敬请关注“谛听”微信公众号。

*本文作者:东北大学谛听网络安全团队,转载请注明来自Freebuf.COM

这些评论亮了

  • 感谢分享,
    不过 "7.4美国遭史上最大规模DDoS攻击" 那个 跟 "工控安全" 不沾边啊。。现在 "摄像头" 也算工控设备了么?
    )7( 亮了
发表评论

已有 17 条评论

取消
Loading...
东北大学谛听网络安全团队

东北大学“谛听”网络安全团队,辨工控网间之万物,探恶意漏洞以补天

1 文章数 0 评论数

特别推荐

关注我们 分享每日精选文章

css.php